1つのディレクトリに対して2セットの独立した権限がありますか?

1つのディレクトリに対して2セットの独立した権限がありますか?

よくわかりませんが、できるだけ簡単にしてみましょう。 ITチームとマーケティングチームがあります。両方のグループが同じディレクトリ(たとえば、小売)にアクセスできることを願っています。私が望むのは、小売およびマーケティングの読み取り/書き込みに対するすべての権限をITに付与することです。

sudo chmodを使用している場合は、両方のグループに同じ権限を付与します。この問題を解決したり、同じディレクトリに属する​​別のグループに異なる権限を付与したりする方法はありますか?

答え1

ディレクトリにアクセス制御リスト(ACL)が必要な場合があります。バラよりその説明Arch Linux WikiからまたはそれらUbuntuの助け。 2つの混合:

  1. インストール:aclパッケージはsystemdの依存関係なので、すでにインストールされている必要があります。リポジトリからaclユーティリティをインストールする必要があります。サーバーバージョンではこれが必須ですが、デスクトップバージョンではaclがデフォルトでインストールされます。

    $ sudo apt-get install acl
    
  2. ACLを有効にする:aclオプションを使用してファイルシステムをマウントする必要があります。 fstab を使用してシステムに永久に作成できます。次のコマンドを使用して、ext *形式のパーティションのオプションを確認してください。

    # tune2fs -l /dev/sdXY | grep "Default mount options:
    

    デフォルトのインストールオプション:user_xattr acl

    必要に応じて、ACLを有効にするパーティションにaclオプションを追加します/etc/fstab。たとえば、

    ...
    UUID=07aebd28-24e3-cf19-e37d-1af9a23a45d4  /home  ext4  defaults,acl  0  2
    ...
    

    必要に応じてACL対応パーティションを再マウントして適用します。たとえば、

    $ sudo mount -o remount /home
    
  3. ACL設定:グループの権限を設定します(グループはグループ名またはIDです)。

    # setfacl -m "g:group:permissions" <file/dir>
    
  4. アクセス制御リストの表示:

    # getfacl <file/dir>
    

答え2

rwx申し訳ありません。 ITとrwマーケティング部門に最初に連絡する必要がありました。

ACLを使用してこれを実行できますが、それほど役に立ちません。

xディレクトリ内のすべてのファイルにアクセスするには権限が必要なので、rw-あまり意味がありません。r(なし)のみを使用すると、xディレクトリ内のファイル名をリストできますが(所有者、サイズなどはリストできません)、wこれがなけれxばまったく役に立ちません。

また削除してファイルは権限に基づいてw制御されます。ディレクトリにと所有者文書そこでは問題ではありません。例外は、「固定ビット」()がディレクトリに設定されている場合ですchmod +t。この場合、ユーザーは自分が所有するファイルのみを削除できます。

権限に関係なく他のユーザーのファイルで作業する可能性など、これらの機能を探している場合は、ルートに代わるものはありません。

望むより:

(技術的には、これはルートになることに関係なく、アクセスをバイパスできる特定の機能を持つプロセスです。ただし、ディレクトリごとに設定できないため、その機能を持つプロセスは実際にはルートです。)

答え3

最初のオプションは拡張ACLを使用することです。私はこれが嫌いです。 ACLの拡張により問題の解決に時間がかかり、一般的に管理するのが難しいことがわかりました。提案者は同意することなく、このタイプの要件に非常に適していると指摘することができます。しかし、問題を解決するために夜明け3時に電話を受けたかどうか疑問です。

どのアクセス権が必要かを知る必要があります。標準の Unix/Linux には次のものがあります。

Type of access       For directory         For files
r   Read access      can list the dir      can read the file

w   write access     can create, remove    can write to the file
                      rename files in
                      the dir

x  execute           can cd to the dir     can execute the file as 
                                           program

Windows Full Controlを見ると、これは次のことを意味します。

  • 読む
  • 書く
  • 調整
  • 実装する
  • 属性/権限の変更
  • 所有権を持つ

変更は他の権限(読み取り、書き込み、変更、実行、およびファイル属性の変更)のコンテナなので、見てみません。

読み取りと書き込みは両方のグループに割り当てる必要があるため、議論しないでください。あなたのグループがディレクトリで作業を行う必要がある場合も同様ですx

ファイルに対する権限は、ディレクトリへの書き込みアクセス権を付与することで変更できます。ほとんどの変更可能な属性(名前、タイムスタンプ)は、ディレクトリに書き込むことで変更することもできます。しかし、これが問題にならないようにしてください。

ファイルの所有権を変更するには、rootアクセスが必要です(おそらくsudo経由)。これは一般ユーザーに与えるものではありません。

したがって、これは、これら2つのグループの一般アクセス権の間に実質的な違いがないことを意味します(IT従業員がそれを許可する場合を除くsudo chown)。

これはまた、複雑なACLを必要としないことを意味します。

関連情報